Pada lab
ini, kita menggunakan jaringan bertingkat dengan empat device utama. Di lapisan
paling atas terdapat Router (MikroTik) yang berperan sebagai gateway ke
internet, NAT, DHCP server untuk semua VLAN, inter-VLAN routing, sekaligus
titik penerapan firewall. Semua traffic antar VLAN harus melewati device ini
sehingga kontrol keamanan terpusat di satu tempat.
Di bawah
Router terdapat Switch Core (MikroTik) yang hanya berperan sebagai L2
switch trunk — meneruskan traffic bertag VLAN dari switch di bawahnya ke
Router. Switch Core kemudian terhubung ke dua switch Cisco IOL di
lapisan paling bawah yang masing-masing melayani client VLAN 10 (Staff) dan
VLAN 20 (Student).
Terdapat
tiga VLAN yang digunakan — VLAN 10 untuk jaringan Staff dengan subnet
10.10.10.0/24, VLAN 20 untuk jaringan Student dengan subnet
10.10.20.0/24, dan VLAN 99 dengan subnet 10.10.99.0/24 yang khusus
digunakan sebagai jaringan management.
1. Buat Address List
Sebelum
membuat firewall rules, kita kelompokkan dulu semua subnet client ke dalam
sebuah address list bernama vlan-client. Ini memudahkan pengelolaan rules —
jika suatu saat ada VLAN baru, cukup tambahkan ke address list tanpa perlu
mengubah rules satu per satu.
- Buka IP → Firewall → tab
Address Lists → klik (+)
2. Buat Filter Rules
Buka IP
→ Firewall → tab Filter Rules → klik (+) dan tambahkan rules berikut sesuai
urutan. Urutan sangat penting karena MikroTik membaca rules dari atas ke
bawah — rule pertama yang cocok langsung dieksekusi.
Rule 1
— Allow Established/Related
Rule ini wajib ada di paling atas. Fungsinya memastikan koneksi yang sudah
berjalan tidak terputus di tengah jalan meskipun ada rule drop di bawahnya.
Misalnya, ketika VLAN 10 sudah memulai koneksi ke VLAN 20, paket balasan dari
VLAN 20 tetap diizinkan melewati router.
- Chain: forward
- Connection State: centang
established, related
- Action: accept
- Comment: Allow established
connections
Rule 2
— VLAN 10 Boleh Akses VLAN 20
Staff diizinkan mengakses jaringan Student, misalnya untuk keperluan monitoring
atau distribusi file.
- Chain: forward
- Src Address: 10.10.10.0/24
- Dst Address: 10.10.20.0/24
- Action: accept
- Comment: VLAN10 -> VLAN20
OK
Rule 3
— VLAN 20 Blok ke VLAN 10
Student tidak boleh mengakses jaringan Staff sama sekali.
- Chain: forward
- Src Address: 10.10.20.0/24
- Dst Address: 10.10.10.0/24
- Action: drop
- Comment: VLAN20 -> VLAN10
BLOK
Rule 4
— Protect VLAN 99
Semua client diblok dari mengakses jaringan management melalui forward chain —
mencegah client menjangkau perangkat lain yang berada di VLAN 99.
- Chain: forward
- Dst Address: 10.10.99.0/24
- Action: drop
- Comment: Protect VLAN99
Rule 5
— VLAN 10 Internet
Setelah semua rule pembatasan di atas, VLAN 10 tetap diizinkan mengakses
internet.
- Chain: forward
- Src Address: 10.10.10.0/24
- Action: accept
- Comment: VLAN10 -> Internet
OK
Rule 6
— VLAN 20 Internet
Sama seperti VLAN 10, VLAN 20 tetap boleh mengakses internet.
- Chain: forward
- Src Address: 10.10.20.0/24
- Action: accept
- Comment: VLAN20 -> Internet
OK
3.
Restrict Akses Service Router
Firewall
filter rules di atas sudah memblok traffic antar VLAN, namun client masih bisa
mengakses service router seperti Winbox dan SSH karena traffic tersebut masuk
ke input chain — bukan forward chain. Daripada membuat banyak rule input
tambahan, cara paling bersih adalah membatasi langsung di level service.
Buka IP
→ Services, lalu ubah kolom Available From untuk setiap service menjadi
10.10.99.0/24:
4.
Verifikasi
Dari
VPC VLAN 20 (Student):
Dari VPC
VLAN 10 (Staff):
